El Departamento de Defensa de EE. UU. (DoD) superó el importante hito de registrar más de 50.000 vulnerabilidades a través de su programa de divulgación de vulnerabilidades (VDP).
El VDP fue lanzado en noviembre de 2016 por el DoD Cyber Crime Center (DC3) y registró la recompensa por error número 50.000 el 15 de marzo de 2024.
El programa DC3 VDP incentiva a los piratas informáticos de sombrero blanco a encontrar errores y vulnerabilidades en sitios web y aplicaciones del Departamento de Defensa recompensándolos según la gravedad de las vulnerabilidades que descubren.
50.000 posibles vías de ataque parcheadas
DC3 ha mejorado gradualmente la eficiencia de los informes y el seguimiento de errores a lo largo de la vida del programa, y en 2018 se lanzó la Red de gestión de informes de vulnerabilidad, introduciendo la automatización en el proceso de informes.
En una declaración pública para conmemorar la ocasión, DC3 dijo: “El avance del programa ha permitido a VDP ampliar su alcance mitigador no solo para procesar los hallazgos en los sitios web y aplicaciones del Departamento de Defensa, sino también para incluir todos los activos de tecnología de la información disponibles y accesibles públicamente de propiedad y operado por la Red de Información del Departamento de Defensa del Cuartel General de la Fuerza Conjunta”.
Se espera que la recompensa ofrecida a los piratas informáticos éticos que identifiquen con éxito vulnerabilidades sea significativamente menor que el impacto financiero que una posible infracción podría tener en el Departamento de Defensa. De hecho, en 2021, DC3 lanzó un programa de 12 meses con la Agencia de Defensa, Contrainteligencia y Seguridad para impulsar la seguridad de las pymes en la Base Industrial de Defensa (DIB).
Según el DC3, la iniciativa “ahorró a los contribuyentes un estimado de $61 millones al descubrir y remediar más de 400 vulnerabilidades activas y amenazas de exfiltración de información no clasificada controlada por parte de adversarios en los activos públicos de los participantes del DIB”.
El Departamento de Defensa también organiza un hackathon conocido como ‘Hack the Pentagon’ que ofrece a los piratas informáticos éticos la oportunidad de buscar errores en otras áreas críticas de la defensa nacional, como el Ejército, la Infantería de Marina y la Fuerza Aérea.